プラットフォーム
drupal
コンポーネント
drupal
修正版
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
Drupal Coreには、PHPオブジェクトインジェクションの脆弱性が存在します。この脆弱性は、別のエクスプロイトと組み合わせることで、任意のファイル削除につながる可能性があります。ただし、直接的に悪用することはできません。この問題は、攻撃者がunserialize()に安全でない入力を渡すことを可能にする別の脆弱性が存在する必要があるという事実によって軽減されます。影響を受けるバージョンは9.5.9以下です。この脆弱性はバージョン10.2.11で修正されました。
CVE-2024-55636 は Drupal コアに影響を与え、潜在的な PHP オブジェクトインジェクションの脆弱性をもたらします。別のエクスプロイトと組み合わせることで、任意のファイル削除につながる可能性があります。この脆弱性は現在の状態では直接的に悪用できないことに注意することが重要です。CVSS スコアは 9.8 と評価されており、高いリスクを示していますが、前提条件の存在により、直接的な影響は大幅に制限されます。
CVE-2024-55636 の正常な悪用は、unserialize() 関数への入力を操作することを可能にする別の脆弱性の存在に依存します。この前提条件がない場合、PHP オブジェクトインジェクションはファイル削除に使用できません。Drupal コミュニティは状況を積極的に監視しており、潜在的なリスクを最小限に抑えるために、コアとモジュールを最新の状態に保つことをお勧めします。
Organizations running Drupal Core versions 9.5.9 and earlier, particularly those with complex module configurations or custom code that might introduce vulnerabilities allowing input to unserialize(), are at risk. Shared hosting environments utilizing Drupal Core are also potentially vulnerable due to the shared nature of the infrastructure.
disclosure
エクスプロイト状況
EPSS
8.79% (92% パーセンタイル)
CVSS ベクトル
主な軽減策は、この脆弱性を悪用するには、攻撃者が unserialize() 関数に安全でない入力を渡すことを可能にする別の脆弱性が存在する必要があるという事実です。現在、Drupal コアにはこの要件を満たす既知のエクスプロイトはありません。Drupal は、一部のコンポーネントのプロパティに型を追加するなど、予防的な対策を講じてセキュリティを強化し、攻撃対象領域を削減しています。
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
脆弱性分析と重要アラートをメールでお届けします。
高いリスクを示しますが、先行する脆弱性の必要性により、悪用が制限されます。
はい、バージョン 10.2.11 以降にアップデートすることを強くお勧めします。
現在、Drupal コアに直接的な悪用を可能にする既知のエクスプロイトはありません。
Drupal とすべてのモジュールを最新の状態に保ち、サードパーティのモジュールすべてのセキュリティをレビューしてください。
これは、攻撃者がアプリケーションに悪意のある PHP オブジェクトを挿入できる技術です。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。